Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Контроль защищенности конфиденциальной информации от НСД
В Постановлении Правительства №79 от 03.02.2012 "О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ
ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ" одним из видов лицензируемой деятельности является п.4.б "контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации".

В связи с этим вопрос - есть ли какая-то нормативка по этой теме? Методички, регламенты, хоть что-нибудь? Как проводится этот контроль, какие действия производит лицензиат?
Буду благодарна за ссылки на интересные статьи по теме.
Тут есть представители фирм-лицензиатов по ТЗКИ?
Есть, но я сейчас в командировке Настя, поэтому в ближайшее время не смогу Вам ответить. Если к моменту приезда тема останется актуальной постараюсь помочь.
Цитата
Михаил пишет:
Есть, но я сейчас в командировке Настя, поэтому в ближайшее время не смогу Вам ответить. Если к моменту приезда тема останется актуальной постараюсь помочь.
Спасибо! Не сомневаюсь, что тема ещё будет актуальна)
Мне кажется, он может проводиться так же, как и аттестационные мероприятия, только без выдачи аттетата (скажем, заключение или протокол...).
Еще есть ГОСТы с рекомендациями по аудиту инф. систем, тоже вполне себе нормативно-технические документы. Возможно и в РД по "Общим критериям" есть какие-то требовани по аудиту или контролю, сейчас точно не вспомню...
Цитата
AlexG пишет:
Мне кажется, он может проводиться так же, как и аттестационные мероприятия, только без выдачи аттетата (скажем, заключение или протокол...).
Еще есть ГОСТы с рекомендациями по аудиту инф. систем, тоже вполне себе нормативно-технические документы. Возможно и в РД по "Общим критериям" есть какие-то требовани по аудиту или контролю, сейчас точно не вспомню...
Если в рамках аттестации, то выдается Протокол НСД, о контроле защищенности, который должен проводиться ежегодно.
Судя по тому, что для получения лицензии на ТЗКИ по контролю защищённости нужны:
- Программные средства формирования и контроля полномочий доступа в автоматизированных системах
- Программные средства контроля целостности программ и программных комплексов
- Анализаторы уязвимостей в программном обеспечении и в автоматизированных системах
- Средства контроля эффективности применения средств защиты информации
Видимо, из той информации, которую можно получить этими средствами, и состоит контроль защищённости :)
Выжать из них всю информацию и оформить её документально :)
Изменено: Анна - 08.11.2012 17:26:48
Цитата
Евгений пишет:
то выдается Протокол НСД, о контроле защищенности,
это понятно, вопрос был о том, согласно каким документам производить этот самый контроль защищенности :-)


Цитата
Анна пишет:
Выжать из них всю информацию и оформить её документально
видимо да, вот же ж конфа какая, чисто поле, что хочешь, как хочешь, так и делай)
Цитата
Настя пишет:
Цитата
Евгений пишет:
то выдается Протокол НСД, о контроле защищенности,

Цитата
Настя пишет:
Цитата
Евгений пишет:
то выдается Протокол НСД, о контроле защищенности,
это понятно, вопрос был о том, согласно каким документам производить этот самый контроль защищенности :-)
выбор собственно не большой, РД, СТР-К, ну и СТР для гос. тайны
Цитата
Евгений пишет:
выбор собственно не большой, РД, СТР-К, ну и СТР для гос. тайны
Я о том, что нигде нет методики, правил, алгоритма (как ещё назвать-то не знаю) проведения этого контроля защищенности!
Цитата
Настя пишет:
Цитата
Евгений пишет:
выбор собственно не большой, РД, СТР-К, ну и СТР для гос. тайны
Я о том, что нигде нет методики, правил, алгоритма (как ещё назвать-то не знаю) проведения этого контроля защищенности!
Это точно, ни чего такого нет
Берете ПП, приказы ФСТЭК и создаете документ, протокол контроля защищенности N*, проводите по пунктам контроль - соответствует или нет, чем подтверждается, какая методика контроля использована, особое внимание уделить сертификатам на СЗИ (действует/продлен/закончился). Нормативки как не было, так и нет (если ГОСТ не выпустили ещё обещанный)
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)